Use Google to translate the web site. We take no responsibility for the accuracy of the translation.
Här har vi samlat frågor och svar om GDPR för STR-relaterade områden.
Svar: Alla verksamheter som hanterar personuppgifter på något sätt är själva ansvariga för att säkerställa att de uppfyller kraven enligt GDPR. Det ansvaret kan aldrig läggas på någon annan part.
Alla personuppgifter som trafikskolorna lägger in eller registrerar någonstans är ni personuppgiftsansvariga för (PuA). Motsvarande gäller naturligtvis för STR.
STR har arbetat fram avtal för trafikskolorna som tydliggör ansvarsfördelningen kopplat till vårt affärssystem aSTRa WEB. STR tillhandahåller ett affärssystem där STR är personuppgiftsbiträde (PuB) och där trafikskolorna är personuppgiftsansvariga. Vi har också tagit fram mallar för andra avtal som ni kan använda (t ex. samtyckesavtal m.m.).
STR har också på med en anpassning av affärssystemet aSTRa WEB så att det är GDPR-anpassat till den 25 maj 2018. Det innebär att vi bygger om systemet så att personuppgifter och information raderas enligt krav på lagring, rensning och borttagning vid behov eller önskemål. Det är dock fortfarande trafikskolornas ansvar att hantera personuppgifterna på ett korrekt sätt, även om STR bygger om systemet för att lättare kunna möta upp mot kraven i dataskyddsförordningen.
Vi har skickat ut information gällande GDPR/dataskyddsförordningen och hur affärssystemet aSTRa kommer att anpassas för att arkivera, rensa och hantera personuppgifter i systemet framöver. Vi har också arrangerat ett webbinarie som förklarar hur aSTRa har GDPR-anpassats.
Svar: Använd checklistorna och det stöd som finns på hemsidan. Ta del av informationen gällande GDPR och hur affärssystemet aSTRa WEB kommer att anpassas för att arkivera, rensa och hantera personuppgifter i systemet framöver.
Svar: Titta gärna på underlaget på hemsidan gällande e-post och GDPR. När det gäller tjänster och produkter som erhålles av andra leverantörer, så skall det upprättas tydliga avtal mellan de som är personuppgiftsansvariga (PuA) och de som är personsuppgiftsbiträde (PuB) – som reglerar vem som är ansvarig för personuppgifterna, samt vad personuppgiftsbiträdet får göra med personuppgifter på uppdrag av personuppgiftsansvarig. I denna fråga tolkar vi det som att ni är personuppgiftsansvariga för er e-post, men att ni har något biträde som har servrar, back up och liknande.
Svar: Ja, det finns mallar och andra dokument på hemsidan. Du hittar dem här.
Svar: Ja, avtalet som idag finns i Elevcentralen har uppdaterats och anpassats till GDPR.
Svar: Endast den som kan förstå innebörden av ett samtycke kan lämna ett giltigt samtycke i personuppgiftslagens mening.
Hantering av barns personuppgifter kräver specialbehandling. Barn kan enligt dataskyddsförordningen inte själva samtycka till lagring och användning av sina personuppgifter, istället krävs vårdnadshavarnas samtycke. När du informerar barn om saker som har med dataskyddsförordningen att göra så måste du göra det på ett så enkelt sätt att barnen förstår.
Det är ditt ansvar att se till att alla samtycken du hänvisar till är giltiga, så om du helt eller delvis riktar dig till barn så behöver du på något sätt kunna skilja på vilka som är barn och vilka som är vuxna. Enligt dataskyddsförordningen räknas man som barn tills man fyllt 16 år, men Sverige kan välja att sänka gränsen till som yngst 13 år.
Enligt personuppgiftslagen är det den registrerade, det vill säga den som personuppgifterna gäller, som kan samtycka till behandling av personuppgifterna. För att ett giltigt samtycke ska kunna ges krävs att den registrerade är kapabel att förstå innebörden av samtycket. När det gäller vuxna personer är det kravet vanligtvis uppfyllt. Vuxna personer kan dock sakna förmåga att förstå innebörden av ett samtycke. De kan till exempel vara psykiskt sjuka eller dementa. Om så är fallet kan en eventuell behandling av personuppgifter inte heller grundas på samtycke från till exempel en anhörig. Behandlingen får då istället utföras med stöd av någon annan bestämmelse i personuppgiftslagen eller i någon annan författning. Om det inte är möjligt får den personuppgiftsansvarige avstå från behandlingen.
Också den som är underårig (det vill säga under 18 år) kan lämna giltigt samtycke till en tilltänkt behandling om han eller hon är kapabel att förstå innebörden av samtycket.
Svar: Det varierar från fall till fall och beror på faktorer som ålder, uppgifternas art och ändamålet med behandlingen.
Om uppgifter om underåriga ska behandlas är det särskilt viktigt att göra en seriös bedömning av den unges förmåga att förstå de totala konsekvenserna av en behandling. En tumregel kan vara att den som fyllt 15 år normalt är kapabel att ta ställning i samtyckesfrågan. Många gånger är det dock så att andra regler än de som finns i personuppgiftslagen hindrar att personuppgifter om barn behandlas.
Det finns till exempel begränsningar när det gäller att skicka direktreklam till barn.
Svar: STR har bara avtalstexter på svenska.
Svar: Om de skriver in sig på en utbildning via er skola så är ni personuppgiftsansvariga. Så fort ni hanterar personuppgifter blir ni personuppgiftsansvariga även om de inte är inskrivna på er skola. Om de sedan registreras i aSTRa WEB (som kursdeltagare), så hanteras personuppgifterna där enligt regelverket och kommer att sparas enligt de riktlinjer som finns och med hänsyn till GDPR. Därefter raderas de i systemet enligt lagd rutin.
Svar: Det som är korrekt registrerat i aSTRa WEB kommer systemet själv att hantera per automatik. När ni arkiverar en elev så startar tiden för kravställd lagring (registrerings och rapporteringskravet) i systemet. Därefter raderas personuppgifterna när den tidsramen gått ut. Så hanterar ni uppgifterna korrekt i systemet så behöver ni inte göra något annat.
Svar: Du kan hänvisa till avtalet som skall finnas mellan STR och ditt företag gällande personuppgiftsansvarig och personuppgiftsbiträde. Kunden kan alltid ställa frågan till företag och STR om att få ut de personuppgifter som hanteras av respektive part. När det gäller körkortselever som registreras i aSTRa WEB så ska kunden vända sig till er för att begära ut uppgifterna. STR tar fram uppgifterna till er på er begäran och har inte rätt att ta fram uppgifterna i annat fall, utan får bara hantera personuppgifter enligt gällande PuA/PuB avtal mellan parterna.
Om personen inte är nöjd med svaret eller hanteringen av frågan, så kan kunden alltid kontakta dataskyddsombudet på företaget/STR och lämna in en klagan. Då har dataskyddsombudet en skyldighet att utreda ärendet och återkomma med svar på klagan. Skulle kunden fortfarande vara missnöjd – så kan de alltid göra en anmälan till tillsynsmyndigheten som i detta fall är Dataskyddsinspektionen, som sedan följer upp ärendet mot företaget.
Svar: GDPR börjar gälla för alla företag i EU den 25 maj. Alla som hanterar personuppgifter har ett ansvar att se till att de följer dataskyddsförordningen, som det heter på svenska. Så där är varje företag ansvarig för sitt. STR utvecklar och anpassar affärssystemet som de flesta medlemmarna använder så att det skall vara GDPR-anpassat. Dock är ansvarsförhållanden här också tydliga i det att de som lägger in personuppgifterna (trafikskolan) är den som är personuppgiftsansvarig och de som hanterar uppgifterna i systemet (STR gällande aSTRa WEB) är personuppgiftsbiträde.
Svar: Ja oftast. GDPR är tillämplig om mobilnumret eller e-postadressen kan knytas till en fysisk person och därför är en personuppgift, samt om uppgifterna behandlas automatiskt (t.ex. i en Excel fil) eller på annat sätt (t.ex. papper) i ett register.
Svar: STR tillhandahåller stöd på hemsidan. STR utvecklar och GDPR-anpassar även affärssystemet aSTRa WEB, så att systemet underlättar hanteringen av personuppgifterna. Ditt företag kan behöva ha särskilda rutiner som ni bör se över. Du hittar även viss information hos tillsynsmyndigheten Datainspektionen. Det kommer också att finnas information riktad till småföretag på www.verksamt.se. Även Företagarna har material om GDPR på sin hemsida.
Svar: Ja, betalningar med t.ex. kontokort och Swish omfattas av reglerna om hantering av personuppgifter när uppgifterna i, och i samband med, betalningen kan knytas till en fysisk person. Beroende på vad ni har för betallösning så kan ansvaret fördelas olika mellan dig och din leverantör av betallösningar.
I vissa fall, där du som företagare inte får tillgång till själva betaluppgifterna, t.ex. kontokortsnummer, är ditt företag personuppgiftsansvarig för hanteringen av personuppgifterna i samband med betalningen till ditt företag, och kontoutgivare/banken personuppgiftsansvarig för behandlingen av kontokortsnumret. Hör med din leverantör av betallösningar om hur just er betalningslösning tar hänsyn till GDPR.
Svar: Ditt företag som personuppgiftsansvarig ska ta ställning till hur länge uppgifterna behövs. Finns personuppgifterna i en verifikation ska ni följa bokföringslagens regler om arkivering och har då en rättslig förpliktelse att spara så länge som du nämner. Har ni därefter inte behov av att spara uppgifterna längre, d.v.s. inte längre har något ändamål alternativt rättslig grund för laglig behandlingen ska ni radera personuppgifterna.
Svar: När GDPR börjar tillämpas bör ditt företag ha uppdaterat sin information och hänvisa till GDPR istället för personuppgiftslagen. Ditt företag ska i samband med att ni samlar in eller tar emot nya personuppgifter lämna information till den registrerade, vilket ni i viss utsträckning ska göra redan enligt nu gällande lagstiftning. Du kan läsa mer om vilken information som ska lämnas här.
Om däremot registrerade redan har fått informationen behöver ditt företag inte lämna den igen, varken när du samlar in uppgifterna igen eller vid ändring av syftet med behandlingen av uppgifterna utan bara ev. annan information.
Svar: Det är svårt att ge ett svar generellt vad som krävs för rutiner för back-up. Ditt företag måste utgå från sina förutsättningar och verksamhet. När det gäller rätten att få tillgång till sina uppgifter gäller att ditt företag ska lämna dem utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran. Förhoppningsvis varar inte driftsstörningen så länge.
Om ditt företag inte kommer kunna ge tillgång till uppgifterna ska företaget utan dröjsmål och senast en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder inte vidtagits och om möjligheten att lämna in ett klagomål till Datainspektionen och begära rättslig prövning.
Svar: De som inte avanmäler sig har inte lämnat sitt uttryckliga samtycke till behandlingen t.ex. lagring och utskick från er. Det krävs uttryckligt samtycke för att ni ska kunna använda samtycke som grund för laglig behandling. Så antingen måste ni använda någon av de andra fem grunderna för laglig behandling eller be att de gör någon aktiv handling för att vara kvar som registrerade t.ex. svara på ett meddelande.
Grunderna för laglig behandling är:
Förmodligen kan du göra en intresseavvägning i detta fall och då resonera kring ditt företags behov av att kunna kommunicera med kunderna och väga det mot kundernas behov av personlig integritet för de uppgifter som ditt företag har i kundregistret. Tänk också på att ditt företag ska uppfylla alla de andra principerna för att få behandla personuppgifterna.
Svar: Ja, det är bra att du har en separat ruta att klicka för samtycket till behandling av personuppgifter och att ditt företag sparar uppgiften om samtycket så att den är dokumenterad. Kom ihåg att samtycket ska vara välinformerat d.v.s. ditt företag ska ha lämnat grundläggande information om bl.a. ändamål, lagringstid m.m. Det räcker alltså inte med att få ett godkännande av lagring av kundens personuppgifter.
Svar: Du behöver inte alltid ha samtycke för att få spara uppgifterna. GDPR har 6 olika grunder för laglig behandling varav samtycke är en. Ditt företag behöver därför undersöka om ni istället kan behandla uppgifterna med stöd av någon av de andra grunderna, t.ex. att behandlingen är nödvändig för att kunna fullgöra avtalet med den registrerade, att ni har en rättslig förpliktelse eller efter en s.k. intresseavvägning. Intresseavvägning innebär att ni gör en bedömning att uppgifterna nödvändiga att använda för företagets berättigade intresse och att den registrerades intresse av skydd för sina personuppgifter inte väger tyngre.
Svar: Det finns förslag på kompletterande svensk lagstiftning som innebär att vissa delar av GDPR inte kommer att tillämpas på behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Det kommer då att innebära att fotografer ofta kommer kunna hantera sina verk oavsett att fysiska personer är identifierbara utan att behöva tillämpa t.ex. principerna i GDPR. Däremot kommer godkännande fortfarande krävas från personen på bilden när det handlar om personer som syns på en bild som används i reklam.
Svar: Nej, e-post anses inte vara ett tillräckligt säkert sätt för att skicka lönespecifikationer. Post går bra och tjänster som Kivra. Uppmaning om att lönespecifikationen finns via en tjänst som kräver inlogg, som ert interna system för tidrapportering och dylikt går också bra. Så länge detta system i sin tur uppfyller säkerhetskraven som ställs upp i GDPR.
Svar: Ja, du kan informera kortfattat i köpevillkoren och sedan på annat ställe ha mer utförlig information. Det övergripande syftet är att informationen ska vara klar och tydlig. De flesta läser inte sina köpevillkor, Datainspektionen ger rådet att separera dem från övriga villkor.
Tänk dock på att om du ska behandla uppgifterna med stöd av samtycke ska det lämnas särskilt t.ex. genom att kunden kryssar i en ruta i webshopen och ska innan dess fått åtminstone vissa grundläggande uppgifter om ändamål, lagringstid m.m.
Svar: Om ditt företag har rimliga skäl att betvivla att den som begär ut uppgifter, radering eller vill utnyttja någon annan av sina rättigheter som registrerad inte är den hen utger sig för kan du begära den ytterligare information som är nödvändig för att bekräfta den registrerades identitet.
Svar: Nej, GDPR räknar upp de fall där den registrerade har rätt till radering av uppgifterna och även undantagen.
Svar: Det är bara om de utskrivna dokumenten ingår i ett register eller kommer ingå i ett register som GDPR ska tillämpas på personuppgifterna i dokumenten.
Svar: Ja, ett samtycke ska vara uttryckligt och ske i aktiv form efter att kunden fått åtminstone viss grundläggande information om hur ditt företag kommer att behandla personuppgifterna. Underförstådda samtycken gäller inte. Att uppgifterna är nödvändiga för fullgörandet av avtalet är ett exempel på en annan grund för laglig behandling istället för samtycke.
Svar: Ja, du kan använda någon annan grund för laglig behandling t.ex. intresseavvägning. Men tänk också på att övriga principer för behandling ska följas. Det är viktigt att intresseavvägningen görs korrekt att ”den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt om de det gäller barn”. Exempelvis måste då de radera personuppgifterna efter det att offerten inte längre är gällande, om det är det som är ändamålet.
Svar: Samtycket ska vara uttryckligt, välinformerat, frivilligt och dokumenterat. Tidigare har underförstådda samtycken godtagits.
Svar: Ja, om det är fråga om direkt marknadsföring har kunden rätt att invända mot att personuppgifterna används för det och personuppgifterna får då inte längre behandlas för detta ändamål.
Svar: Ett samtycke ska tas in innan behandling, när du skickar följesedel eller faktura är för sent. Ditt företag kan begära samtycke till behandlingen eller välja att behandla personuppgifterna med stöd av någon av de andra fem grunderna för laglig behandling.
Om ditt företag ska behandla känsliga personuppgifter är huvudregeln att ditt företag ska ha ett välinformerat, uttryckligt, frivilligt och dokumenterat samtycke till behandlingen av de känsliga personuppgifterna annars är det bara i vissa undantagsfall som ditt företag får behandla de känsliga uppgifterna. Eftersom det är kunden som ska lämna samtycket till ditt företag är det bäst att de lämnar det t.ex. i samband med beställningen eller i annat meddelande som de skickar till ditt företag.
Svar: Ja, när du inte längre har något syfte med att behandla uppgifterna eller inte har någon grund för laglig behandling längre ska du radera uppgifterna.